늘어나는 보안위협과 보안 솔루션, 그리고 보안전문가의 부재
모두를 만족하는 ‘통합’ 쉽지 않지만, 통합보안은 꾸준히 간다
UTM 등 통합보안 솔루션부터, 직접 ‘통합’ 하려는 솔루션까지 다양해
[설문조사] 통합보안 솔루션에 대한 사용자 선호도 조사 결과
통합보안 솔루션 집중분석 : 안랩, 제이슨, SGA솔루션즈, 넷스카우트, 샌즈랩, 쿼리시스템즈
[보안뉴스 원병철 기자] 코로나 펜데믹으로 촉발된 업무환경의 변화와 디지털 전환 가속화로 IT 환경은 다변화됐고, 인공지능과 클라우드의 폭발적인 증가는 업무의 편리성을 높여주었다. 하지만 급격한 변화에 따른 틈을 노린 사이버 위협도 크게 늘면서, 이에 대응하기 위한 다양한 보안 솔루션의 도입이 증가했다. 문제는 이렇게 늘어난 보안 솔루션을 제대로 다룰 수 있는 보안전문가가 부족해졌다는 사실이다. 때문에 기관과 기업들은 여러 보안 솔루션을 한데 묶어 관리할 수 있는 통합보안에 목말라했고, 보안 기업들은 각기 다른 기술을 결합·연계해 효율적으로 운영할 수 있는 솔루션과 플랫폼을 연구하기 시작했다.
[이미지=gettyimagebank]
점점 더 정교해지는 사이버 공격과 복잡해지는 IT 환경, 그리고 이를 노리는 다양한 사이버 위협으로 인해 보안 솔루션 역시 급증하고 있다. 특히 최근 한국을 대상으로 한 공격이 늘고 있다. 보안업계에 따르면 2023년 11월 행정 전산망 마비로 전 세계 해커들의 관심을 끈 탓인지 한국은 세계에서 공격대상 5~6위 수준이라고 한다. 문제는 이렇게 늘어난 사이버 위협에 대응하고 보안 솔루션을 운용할 보안전문가의 숫자는 이에 미치지 못한다는 사실이다.
실제로 세계경제포럼(WEF, 다보스 포럼)은 ‘2024년 글로벌 사이버보안 전망’ 보고서에서 글로벌 사이버보안 인력이 약 400만명이 부족하며, 그 수치는 계속 늘어날 것으로 전망했으며, 보안기업 포티넷은 ‘2024 글로벌 사이버보안 기술격차 보고서(2024 Global Cybersecurity Skills Gap Report)’에서 사이버보안 인력 부족이 보안위협 증가의 주요 원인으로 지적되며 보안사고로 인한 피해 규모가 커지고 있다고 발표했다. 스플렁크도 많은 기업들이 핵심·숙련 보안 인력 확보에 어려움을 겪고 있으며, 특히 경기침체 속에서 인재 채용과 유지가 더욱 힘들어지고 있다는 보고서를 발표한 바 있다.
UTM부터 SIEM과 SOAR까지, 다양한 통합보안 솔루션 등장
늘어나는 보안위협에 맞서 조직은 다양한 보안 솔루션을 도입하지만, 이를 운용할 보안전문가가 부족한 상황이 이어지자 개별로 운용되는 보안 솔루션을 하나로 묶어주거나 아예 다양한 기능을 제공하는 보안 솔루션이 시장에 등장하기 시작했다. 바로 통합보안 솔루션이다.
대표적인 것이 바로 UTM(Unified Threat Management, 통합위협관리)이다. UTM은 다양한 보안 기능을 하나의 장비와 소프트웨어로 통합해 관리해주는 네트워크 보안 시스템이다. 각 제조사나 제품마다 다르지만, 방화벽, 침입 탐지 및 방지 시스템(IPS), 웹 필터링, VPN, 스팸메일 필터링 등 다양한 기능을 제공한다. 마치 스위스 나이프처럼 다양한 도구가 한 제품에 합쳐 있는 것과 같다.
그런데 UTM은 글로벌 IT 컨설팅 기업인 가트너가 발표하는 매직쿼드런트(Magic Quadrant)에서 NGFW(Next Generation Fire Wall, 차세대 방화벽)와 그 기능이 겹친다는 이유로 2019년 집계부터 삭제됐다. 즉, NGFW 역시 통합보안 솔루션이며, 다양한 기능을 제공하거나 다른 보안 솔루션을 통합하는 것은 오래전부터 진행된 일이라는 얘기다.
최근 두각을 나타내는 통합보안 솔루션으로는 SIEM(Security Information & Event Management : 보안 정보 이벤트 관리), EDR(Endpoint Detection and Response : 엔드포인트 탐지 및 대응), SOAR(Security Orchestration, Automation, and Response : 보안 오케스트레이션, 자동화 및 대응) 등이 있으며, 이밖에 ESM(Enterprise Security Management : 통합보안 관제 시스템), CSA(Consolidated Security Architecture, 통합보안 아키텍처), UEBA(User and Entity Behavior Analytic : 사용자 및 엔티티 행동 분석), TI(Threat Intelligence : 위협 인텔리전스) 등도 통합보안 솔루션으로 분류된다.
실제로 통합보안 시장은 빠르게 성장하고 있다. 특히 한국 시장에 비해 글로벌 시장의 성장 속도가 더 빠른 편이다. 특히 최근에는 이와 같은 개별 솔루션의 기능에 대한 연계와 연동을 중심으로, 각 솔루션의 다양한 기능을 하나로 통합하는 ‘통합 플랫폼’ 형태로 결합하는 추세도 보인다.
다만 ‘원밴더 솔루션’, 즉 1개 기업의 솔루션으로 통합보안을 완성하는 것은 어려울 것으로 다들 보고 있다. 고객들 역시 통합보안 체계 구축을 목적으로 중복투자 방지, 기존 사일로 기반의 보안관리도구 통합 등의 방식으로 통합보안을 추진하고 있다. 업계에서는 현재 통합보안이 전반적으로 통합보안을 관리·통합하는 영역, 탐지의 영역, 그리고 차단 및 완화, 보안 연결성 등을 보장하는 영역으로 크게 나누어지고 있는 것으로 보고 있다. 특히 이러한 구조에서 가장 중요하게 생각하는 분야는 자동화로, 당장 자동화를 위한 통합보안 구성이 어렵기에 통합보안 관리(Orchestration)를 시작으로 AISecOps로 진화하는 것 같다는 의견도 나오고 있다.
통합에 목마른 고객들, 인하우스 개발에 나서다
업계에 따르면, 한국의 한 글로벌 기업은 전 세계에서 사용하는 방화벽을 권역별로 관리하고 있었다. 문제는 접점이 있는 방화벽만 1,500개가 넘어 관리하는 데 많은 어려움을 겪고 있다는 점이다. 때문에 이를 다 묶어서 관리할 수 있는 솔루션을 찾았지만 그게 여의치 않았고, 우선 가시성 확보에 우선하고, 여기에 다른 보안 장비를 접목하는 방법을 찾고 있다고 한다.
이처럼 사용자들은 여러 보안 솔루션을 통합·운용할 방법을 찾고 있지만, 니즈에 100% 부합하는 솔루션은 찾아보기 힘든 상황이다. 이에 직접 제품 개발에 나선 고객들이 늘고 있다. 실제로 신한은행과 농협은행 등 금융권에서는 AI 플랫폼을 직접 구축하고 있고, 사용 중인 여러 솔루션에서 나온 데이터를 모아 관리하려고 준비 중이다.
물론 쉬운 일이 아니다. 예를 들면, 솔루션별, 기업별 사용하는 용어도 서로 다르고, 사용하는 데이터도 다르기 때문에 이를 통합하는 작업도 만만치 않다. 특히 업계에서는 데이터를 통합하고 수집하는 것에 주력하고 있다. 일례로 몇몇 글로벌 보안기업은 자사의 서비스를 이용하는 고객사의 고유 데이터를 서비스 비용을 깎아주며 공유받는 등 데이터를 모으고 있는 것으로 알려졌다. 업계에서는 AI가 좀 더 발전하면 이러한 노력이 쉬워질 것으로 보고 있지만, 현재 상황에서는 그것도 쉽게 해결될 것 같지는 않다.
국내외 대표 통합보안 기업들의 개발 방향
그렇다면 실제 보안기업들은 어떻게 움직이고 있을까? 국내에서 통합보안 시장을 움직이는 기업들은 넷스카우트, 로그프레소, 리니어리티, 샌즈랩, 시스코, 시큐레이어, 시큐리온, 시큐아이, 시큐어시스템즈, 안랩, 에스지에이솔루션즈, 에스큐브아이, 에스투더블유, 엘라스틱, 윈스, 이글루코퍼레이션, 이너버스, 이스트시큐리티, 제이슨, 주니퍼, 지란지교에스엔씨, 체크포인트, 케이엑스넥스지, 케이티, 쿼리시스템즈, 큐비트시큐리티, 트렌드마이크로, 팔로알토 네트웍스, 포티넷, 퓨쳐시스템, 플랜티넷 등(업체명 가나다순)이다.
글로벌 기업들은 네트워크 보안 솔루션 기업들이 UTM을 중심으로 통합보안 시장을 이끌고 있는데, 특히 최근에는 SOAR, AISecOps 등을 포함해 UTM을 구성하는 기업들이 늘고 있다. 반면에 탐지에 우선순위를 두는 솔루션도 확대되고 있다. NDR을 중심으로 한 이 솔루션은 주로 금융권과 제조 대기업 중심으로 시장을 형성하고 있다.
이에 따라 보안기업들은 “어떻게 통합할 것인가”를 고민한다. 앞서 설명했듯 통합보안의 영역은 너무나 넓고 다양하며, 전문화됐기 때문에 통합보안 운영의 방법론은 고민일 수밖에 없다. 여기에 인공지능 발전 방향성도 통합보안에 큰 영향을 미칠 것이기 때문에 더욱 앞날을 예측하기 어려운 상황이다.
대표적인 통합보안 기업들의 움직임을 살펴보면, 우선 넷스카우트의 경우 보안 위협의 차단, 완화를 위한 DDoS 및 Threat Intelligence Gateway 솔루션과 Network Security 분야의 NDR 솔루션에 집중해 통합보안 솔루션 구성을 지원하고 있다. 이를 기반으로 다양한 형태 및 종류의 침해 위협을 탐지하고 정책에 따라 보안 위협을 차단 및 완화하며, 나아가 머신러닝(Machine Learning) 기반의 보안 위협 탐지, 차단의 자동화에 집중하고 있다는 것. 결국 통합보안의 개념을 탐지와 차단의 통합 관리 방안으로 진행하고 있다는 설명이다.
안랩은 XDR과 SIEM, SOAR, TI까지 다양한 솔루션을 SaaS 형태로 하나의 플랫폼으로 구현해 제공한다는 설명이다. 이와는 조금 다르게 NG-SIEM, XDR, EDR 등의 솔루션에 AI와 SOAR 제품 등 기술을 내재화해 통합을 구현하기도 한다고 덧붙였다. 또한, 올해에 들어서는 다양한 솔루션을 연계해 보다 최적화된 통합 보안과 보안 대응 자동화를 구현하기 위해 AI 및 머신러닝 기술을 적극적으로 활용 중이라고 밝혔다.
안랩이 인수한 AI 보안 스타트업 제이슨은 최근 확장성과 유연성을 높여주는 클라우드 기반 SIEM 솔루션 채택이 증가하고 있다면서, 자사의 SIEM 기능을 클라우드 접근 보안 중개 서비스(CASB), ID, 엔드포인트, 네트워크, 운영기술(OT), 사용자 및 엔터티 행동 분석(UEBA), SOAR 도구와 같은 다른 보안 제품과 통합하는 추세가 커지고 있다고 설명했다.
쿼리시스템즈는 통합보안 시장은 인공지능, XDR 체계 적용 등을 통한 보안관제 업무 자동화 및 체계 구축을 위한 필수 솔루션으로 성장하고 있다고 강조하고, 특히 업무 자동화와 위협 자동대응체계 구축이 핵심이라고 봤다.
▲국내외 대표 통합보안 솔루션(가나다순)[자료=보안뉴스, 각 사 자료]
통합보안 발전의 걸림돌은 아이러니하게도 ‘통합’
물론 통합보안의 필요성은 누구나 인정하는 바이지만, 산업으로 성공하기는 쉽지 않은 일이다. 그렇다면 업계에서 보는 가장 큰 걸림돌은 무엇일까? 아이러니하게도 통합보안의 가장 큰 문제는 ‘통합’이다. 과거에는 통합보안 솔루션 도입을 통해 보안 솔루션 로그 통합만을 구현하면 됐지만, 최근에는 위협자동대응 연동까지를 고려해야 하며, 이를 위해서는 API 지원이 필수다. 많은 기업이 API를 지원하지만, 아직 일부 소극적인 기업이 있어 어려움이 있다는 것. 특히 경쟁사의 경우 API를 한정적으로 제공하는 경우도 있다고 업계에선 설명한다.
한편, 모든 솔루션이 개발단계부터 연동을 염두에 두고 개발하는 것이 아니기 때문에 통합에 활용할 수 있는 API가 한정적인 경우도 있다.
거론되는 또 다른 문제는 도입비용과 조직의 니즈를 100% 만족시킬 수 있는 통합보안 솔루션의 부재다. 도입비용의 경우 통합보안 솔루션이 충분한 통합효과를 발휘하기 위해서는 우선 다양한 보안 솔루션을 갖고 있어야 하는데, 그런 조직이 생각보다 많지 않다는 거다.
또한 통합보안 솔루션을 도입할 여력이 있는 조직의 경우, 조직이 생각하는 것과 통합보안 솔루션들이 실제 구현할 수 있는 것에 차이가 있기 때문이라고 보는 시각도 존재한다. 때문에 통합보안 솔루션 기업들은 모든 분야를 설명하고 조직의 현재 환경에서 최적화된 방식을 고려해 솔루션을 제안해야 하며, 그 과정이 쉽지 않다는 설명이다.
▲통합보안 솔루션에 대한 사용자 선호도 조사[자료=보안뉴스]
통합보안에 대한 사용자 선호도 조사
이처럼 통합보안에 대한 니즈는 갈수록 늘고 있고, 보안기업들 역시 통합보안 솔루션 개발에 팔을 걷고 있다. 그렇다면 실제 기관과 기업들은 통합보안 솔루션을 얼마나 도입하고 어떻게 사용하고 있을까? 이와 관련 <보안뉴스>와 <시큐리티월드>는 2024년 8월 12일부터 20일까지 9일간 약 10만여명의 보안담당자에게 ‘통합보안 인식 및 선호도 조사’를 실시했다. 이번 설문 조사에는 공공(27.7%)과 민간(72.3%)의 보안담당자 2,241명이 답했다.
우선 통합보안 솔루션 도입을 얼마만큼 했는지 물어봤다. 응답자의 64.3%가 통합보안 솔루션을 도입해 운영하고 있으며, 24.1%는 아직 도입하지 않았다고 응답했다. 또한 11.6%는 도입 예정이라고 밝혔다.
그렇다면 통합보안 솔루션을 도입한 응답자들은 어떤 솔루션을 사용하고 있을까?
가장 많이 사용하는 솔루션은 UTM(Unified Threat Management, 통합 위협 관리)으로 23.3%가 선택했다. 이어 ESM(Enterprise Security Management : 통합보안 관제 시스템) 21.9%, SIEM(Security Information & Event Management : 보안 정보 이벤트 관리) 17.4%, NGFW(Next-Generation Firewall, 차세대 방화벽) 16.5%, EDR(Endpoint Detection and Response, 엔드포인트 탐지 및 대응) 14.3%, CSA(Consolidated Security Architecture, 통합보안 아키텍처) 2.2%, SOAR(Security Orchestration, Automation, and Response : 보안 오케스트레이션, 자동화 및 대응) 1.8%, UEBA(User and Entity Behavior Analytic : 사용자 및 엔티티 행동 분석) 1.3%, TI(Threat Intelligence : 위협 인텔리전스) 1.3% 순으로 응답했다.
통합보안 솔루션을 사용하는 응답자들은 솔루션 만족도에 높은 평가를 주었다. 만족한다는 응답이 39.3%였으며, 매우 만족한다는 응답도 12.5%였다. 불만족(2.7%)과 매우 불만족(0.9%)은 합쳐도 3.6%에 불과했다. 다만 과반인 44.6%는 보통이라고 답했는데, 이는 만족한다는 응답일 수도 있지만, 뭔가 아쉽다는 응답일 수도 있다. 앞서 설명했던 것처럼 통합보안은 아직 사용자의 니즈를 완전하게 받아주지 못하기 때문이다. 이어 앞으로 추가하고 싶은 통합보안 솔루션에 대해 묻자 18.8%가 SOAR를 선택했으며, 17.0%가 EDR을 선택했다. 다음으로 14.3%가 NGFW을 선택했다. 이어 ESM(13.4%), UTM(10.3%), SIEM(8.9%), UEBA(7.6%), CSA(5.7%), TI(4.0%) 순으로 꼽았다.
한편, 조직에 통합보안 솔루션을 운영할 담당자가 있냐는 질문에 44.7%가 1명이라고 답했으며, 21.4%는 없다고 답했다. 2명(17.4%)과 5명 이상(8.9%), 그리고 3명(5.4%)과 4명(2.2%)이 뒤를 이었다.
고객의 니즈와 업계의 간극 좁히기
업계에선 고객들이 생각하는 원클릭 솔루션은 어렵다고 말한다. 하지만 방향성은 맞다고 생각하며, 많은 기업들이 이를 위해 노력하고 있다고 설명한다. 다만 각자가 원하는 요구사항이 다 다르고, 데이터를 통합하기가 쉽지 않기 때문에 인하우스 개발을 하는 고객들이 늘고 있다고 봤다. 특히 자신이 가진 데이터를 외부 솔루션에 담는 것을 싫어하는 고객들은 VPN도 API를 요구하고 있다. 실제로 미국 통신사들도 오픈 API를 차용해 활용하는 방향을 고수하고 있다.
또 다른 문제는 운영하는 담당자다. 사람을 구하기 어려워 통합보안 솔루션을 원하지만, 그 역시도 다룰 수 있는 담당자가 필요하며, 담당자를 통해 자동화를 위한 정교한 정책도 만들 수 있다는 얘기다. 운영할 수 있는 전문가의 부족을 메우기 위해 자동화를 하고 문서를 만들어도 그 전문성을 완벽하게 메울 수 없다는 것이 보안업계의 공통된 지적이다. 인공지능이 현재 대안으로 떠오르고 있지만, 아직 플레이북 수준의 자동화(Automation)이며, 우리가 원하는 수준의 인공지능이 나오기까지는 최소 2030년, 혹은 그 이상의 시간이 필요할 것으로 보고 있다.
이에 따라 통합보안 솔루션에 대한 고객들의 니즈는 앞으로도 계속될 것으로 보이며, 보안기업들의 도전 역시 계속 이어질 것이다.
▲AhnLab SOAR 개념도[이미지=안랩]
[통합보안 솔루션 집중분석-1]
보안 오케스트레이션 및 자동화 플랫폼
AhnLab SOAR, 보안의 복잡성을 푸는 열쇠
AhnLab SOAR는 보안 관제 분야에서 오랜 기간 축적된 안랩의 기술력과 노하우를 집약시킨 SOAR 솔루션이다. 표준화된 플레이북과 자유로운 편집 기능을 제공하며, 다양한 솔루션과의 연동을 통해 오케스트레이션 개념을 업무에 도입할 수 있다. 프로세스 자동화와 머신러닝 기반 분석 모듈로 위협 요소를 자동 식별하고, 식별된 요소로 위협을 추론해 대응 업무의 효율성을 향상시킬 수 있다.
오케스트레이션과 자동화로 효율적인 보안 구현
AhnLab SOAR는 위협 대응 프로세스에 속해 있는 각 태스크(Task)를 조절한다. 사람의 개입과 자동화를 적절하게 조율해 업무 수행을 최적화시키는 것이다. 안랩 제품을 기본으로 고객사에서 많이 사용하는 SIEM, 로그관리 시스템, TI, 업무지원 시스템과 연동도 가능하다. 고객사 내부 자체적인 시스템과의 연동은 커스터마이징을 지원한다. 이밖에, 발생한 이벤트에 해당하는 대응 프로세스를 자동으로 매칭해준다. 필수 수행 플레이북과 플레이북의 테넌트(Tenant) 및 레이블(Label) 정보를 매칭시켜주는 기능도 갖췄다.
또한, AhnLab SOAR는 추상적인 개념의 워크플로우를 구체화하고 태스크 별로 정의해 플레이북으로 제작할 수 있도록 한다. 재사용성이 높은 안랩의 보안 관제 노하우가 적용된 ‘Built-in Playbook’도 제공한다. 업무의 비즈니스 로직, 위험도 판단을 위한 계산식 및 추가적인 정보 수집을 위한 내용 등을 스크립트로 구현해 즉각적으로 업무 효율성을 개선할 수 있다. 또, 추가된 스크립트는 스크립트 라이브러리를 통해 관리한다.
원활한 협업을 위해 최적화된 플랫폼
AhnLab SOAR 사용자는 실행 중인 모든 케이스를 처리가 완료될 때까지 진행 상황 관리가 가능하다. 케이스 처리 상세 화면을 통해 케이스 생성, 진행 상태, 처리시간 등을 실시간으로 제공하며, 유형별 위험도 현황 리스트도 확인할 수 있다. 동일 유형의 이벤트는 관리자가 설정한 조건에 따라 하나의 케이스로 축약해 불필요한 작업을 최소화할 수 있다. 대응 내역과 의사결정 증적 관리, 대응 근무자와 분석가 간 원활한 커뮤니케이션도 지원된다.
▲JMachine[이미지=제이슨]
[통합보안 솔루션 집중분석-2]
다차원 데이터 분석으로 실시간 위협 탐지와 대응 능력 강화
제이슨, 보안 침해와 정보 유출 통합관리 솔루션
기술의 지속적 발전으로 인해 구조가 복잡해지고, 다양한 종류의 디바이스와 애플리케이션이 사용됨에 따라 기업의 보안 솔루션 도입은 필수 요소가 됐다. 기업들이 보안 침해(SIEM)와 정보 유출(UEBA) 시스템을 독립적으로 운영하지만, 이러한 운영은 시스템 내부에서의 보안 위협을 포착하고 대응하는 데 있어 제한적인 접근방식이므로 시스템 전체적인 보안을 저하할 수 있다. 이러한 어려움을 해결하기 위해 인공지능 기술(AI)을 이용해 보안 침해 이벤트와 사용자 행동 데이터를 종합적으로 탐지하고 분석함으로써, 보다 정교한 위협 탐지와 실시간 대응 능력이 탑재된 보안 솔루션이 필요하다.
진화되는 위협에 대처하기 위한 정밀한 이상징후 탐지 솔루션 ‘JMachine’
제이슨의 AI 이상징후 탐지 시스템 ‘JMachine(제이머신)’은 빅데이터 기반 인공지능(AI) 학습을 통해 보안 침해(SIEM)와 정보 유출(UEBA)에 대한 통합관리를 지원한다. 가변 임계치, 수치 이상 탐지, 그리고 군집 내 이상징후 등의 기능으로 정밀하고 자동화된 탐지와 분석 및 대응 서비스를 제공하는 것이 특징이다.
빅데이터를 통해 대량의 데이터를 학습한 후, 각 탐지 대상의 특성을 반영한 임계치를 자동으로 생성해 정밀하게 이상징후를 탐지한다. 또한, 탐지 대상의 행위 패턴을 분석하고 학습해 과거 패턴과 다른 이상 행위를 자동으로 감지해 이상징후를 정확하게 식별해준다.
내부자 정보 유출(UEBA)의 경우 가변 임계치, 수치 이상 탐지와 더불어 군집 분석을 통해 탐지 대상의 행위 데이터를 분석하고, 이상 행위자를 식별해 기업의 중요 정보 유출을 사전에 방지할 수 있다.
이러한 탐지 이벤트들은 ‘AI 이벤트 자동 대응’을 통해 AI가 이벤트의 탐지 결과를 분석하고 보안 위협을 식별해 주어, 운영자의 직접적인 대응 방식에 비교해 오탐으로 인한 시간, 비용 자원 낭비를 혁신적으로 줄여준다.
‘JMachine’은 이러한 기능을 통해 국내 다수의 대기업에 구축돼 정보 유출을 탐지한 실제 사례를 보유하고 있으며, 축적된 보안 노하우로 사이버 보안과 IT 운영을 지속적으로 혁신할 수 있는 시스템과 서비스를 제공한다.
▲SGA ZTA’ 솔루션 개요[이미지=SGA솔루션즈]
[통합보안 솔루션 집중분석-3]
보안 패러다임 전환의 시대, 전통적인 보안체계의 한계를 넘어 차세대 통합보안을 달성하기 위한 유일한 대안 : 제로트러스트 보안
에스지에이솔루션즈, 패러다임 전환 차세대 통합보안 솔루션 ‘SGA ZTA’ 공급
현재의 보안은 해킹 기술의 고도화와 이를 탐지·방어하기 위한 기술의 고도화와 맞물리며 정체된 형국이다. 새로운 보안 제품이 시장에 등장한다고 해도 기술적·개념적으로 크게 새로울 것이 없는 현시점에서, 이를 타파할 새로운 보안 개념이 등장했다. 미국 국립표준기술연구소(NIST)에서 제시한 ‘제로트러스트 보안(NIST SP 800-207)’이 그것이다. SGA솔루션즈는 선제적으로 패러다임 전환이 필요한 시점을 간파하고 제로트러스트 보안 솔루션을 개발하기 위해 2021년부터 많은 자원을 투입해 개발에 착수했다. 그 결과, 2023년 제로트러스트 통합보안 솔루션인 ‘SGA ZTA’를 출시했다. 또한, 제로트러스트 보안모델 실증사업을 수주하며 기술력을 입증했고, 이러한 결과들을 기반으로 기업들에게 제로트러스트 보안을 적극적으로 제시하고 있다.
차세대 통합보안 시장을 선도하는 ‘SGA ZTA’
‘SGA ZTA’는 미국 국립표준기술연구소가 발표한 ‘NIST SP 800-207’과 한국인터넷진흥원의 ‘제로트러스트 가이드라인 1.0’을 준용하는 제로트러스트 보안 솔루션이다. ‘SGA ZTA’는 제로트러스트 아키텍처를 완전하게 구성할 수 있는 Full-Stack ZTA를 제공한다. SGA솔루션즈는 엔드포인트에서 서버까지 전 영역에 걸쳐 자체 기술 기반의 솔루션을 개발 및 공급하고 있다. SGA ZTA에서 제공하는 제로트러스트 아키텍처에는 이러한 단위 제품들을 개발하고 발전시켜온 역량을 결집해 핵심구성 요소로써 제공한다.
제로트러스트 아키텍처를 구현하기 위한 핵심구성 요소들은 기존 각 영역의 제품들을 제로트러스트 환경에 맞도록 재구성하고 커스터마이징해, 최적화된 제로트러스트 통합보안 솔루션으로 제공할 수 있다. 결국 제로트러스트 보안 솔루션은 기존의 경계기반 보안을 넘어서 사용자와 디바이스를 고려한 엔드포인트 영역에서부터 서버, 시스템 영역에 이르는 모든 영역에서 암묵적 신뢰를 최소화하는 새로운 관점의 차세대 통합보안 솔루션이라고 할 수 있다. 즉, 엔터프라이즈 리소스 영역에서 ‘시스템’, ‘데이터’, ‘애플리케이션’에 대해서 제로 트러스트 보안 영역의 확대 적용으로 빈틈없는 보안을 적용할 수 있고, 이러한 것을 가능하게 하는 것이 SGA솔루션즈의 제로트러스트 보안 솔루션 ‘SGA ZTA’이다.
변화하는 환경에 문제없이 대응 가능한 제로트러스트 보안, ‘SGA ZTA’
SGA ZTA는 전통적인 레거시 인프라 환경과 클라우드 환경을 모두 통합해 적용할 수 있으며, 도입 초기의 환경 측면의 분석 등을 통해 제로트러스트 보안 도입을 진단해 볼 수 있다. 또한 SGA솔루션즈는 제로트러스트 보안 솔루션의 지속적인 기술 발전과 관련 생태계와의 협업 체계를 구축하기 위해 핵심 구성 보안 솔루션들에 대한 연동과 커스터마이징을 제공하며, 이를 확대 적용해 제로트러스트 보안 구성을 완성하고, 시장 선도역할을 하고자 한다.
▲NETSCOUT Omnis Cyber Intelligence[이미지=넷스카우트]
[통합보안 솔루션 집중분석-4]
디지털 생태계에서 위협 탐지와 관리 강화는, 진화하는 사이버위협으로부터 서비스 보호의 필수 대응체계
넷스카우트, 빠르게 진화하는 사이버 위협 대응의 최적화 방안 제시
디지털 생태계의 변화는 매우 빠르게 진행되고 있다. 클라우드 도입과 데이터센터 운영, 수많은 원격지, 지사에서의 서비스 접속과 IoT 등의 확대에 따른 네트워크 연결 접점의 폭발적인 증가 등, 분산된 서비스 환경에 대한 복잡한 네트워크 전반의 가시성과 관리는 더욱 어려워지고 있다. 결국 전체 네트워크의 포괄적인 가시성은 모든 보안 위협 탐지와 대응의 기본 요소가 되어야 하며, 이를 통해 사이버 안전을 위협하는 문제를 신속하게 식별하고, 정확히 진단하는 효율적인 관리 방안을 가져야만 한다. 경계 없는 네트워크의 정확한 감시만이 가시성 격차를 해소하고, 보안 위협, 침해 사고에 대한 대응방안 최적화와 자동화 토대를 만들 수 있다.
‘넷스카우트 Omnis™ Cyber Intelligence’는 심층 패킷 검사(DPI, Deep Packet Inspection)를 기반으로 하는 고급 네트워크 위협 탐지 및 대응을 위한 포괄적인 플랫폼으로, 기업은 네트워크에 대한 완벽한 보안 가시성을 확보하고 높은 정확도로 취약성과 위협을 식별할 수 있다. 또한 모든 보안 이벤트를 관리하고 데이터 기반의 통찰력을 위한 데이터 연계 인터페이스를 제공해, SIEM/SOAR 및 XDR을 통한 자동화 기반 조성, 조직의 더 빠르고 효율적으로 보안 위협을 조사하고 관리할 수 있는 통합보안 완결성의 한 축을 담당한다.
다차원 위협 탐지(Multidimensional Threat Detection)를 통한 문제 해결
넷스카우트 OCI(Omnis Cyber Intelligence)의 네트워크 계측과 모니터링은 모든 플랫폼(Legacy Network, Virtualization, Hybrid & Multi Cloud 등)을 지원하는 비용 효율적인 배포 방식을 제공하며, 넓고 깊은 네트워크 위협 가시성과 심층적인 패킷 포렌식 분석까지 내장하고 있다. 네트워크 기반 기술에 다차원 보안 위협의 탐지를 접목해 사이버 공격 감지 전반에 대한 문제를 쉽게, 그리고 조기에 식별해 침해 위협에 대한 네트워크 대응 시간을 단축하고 사전 예방적인 접근 방식으로 보안을 강화한다.
다양한 사이버 공격 방식을 동시에 탐지해, 보안 운영의 오탐 및 과탐을 최소화하는 방식을 제공함으로써, 기업의 보안 운영 전반의 리소스 낭비를 줄이고, 특히 SoC 운영 인력의 편의성 기반에 최적화된 보안체계 유지 관리의 효율성을 보장한다. 또한 내장된 IDS를 기반으로 사용자 행위에 대한 이상 행위 탐지와 동작의 손쉬운 탐지를 보장한다.
SoC의 운영 부담 감소와 자동화된 보안 위협 탐지
네트워크를 통한 전 세계의 서비스 접점에서 빠르게 변화하는 보안, 침해 위협에 대한 정보를 신속히 취득하고, 다양한 공격과 정상적인 네트워크 운영을 빨리 식별할 수 있는 방안은 매우 중요하다. OCI의 AIF(ATLAS Intelligence Feed)는 전 세계 인터넷 트래픽의 50%를 지금도 모니터링하고 있으며, 이를 통해 실시간 보안 위협을 빠르게 업데이트하고 OCI로 전달한다. 현재 기업에서 운영 중인 네트워크와 서비스에서 경험하지 않았지만 상존하거나 새로운 내·외부 다양한 보안 위협을 실시간, 즉각적인 탐지를 적용할 수 있다. AIF를 기반으로 미연에 사이버 위협, 침해 사고에 즉시 대응 가능한 예방적 체계를 구성할 수 있다.
넷스카우트의 Omnis Cyber Intelligence는 기업에 네트워크 전반의 손쉬운 보안 위협 관리와 동시에 운영하고 있는 서비스 안정성을 높이는 보안체계 구축을 도울 수 있다.
▲네트워크 트래픽을 수집·분석·탐지하는 MNX의 시스템[이미지=샌즈랩]
[통합보안 솔루션 집중분석-5]
네트워크 위협 탐지 및 대응 솔루션
샌즈랩, 네트워크 상의 모든 내용을 기록·추적·분석하는 NDR 솔루션! ┖MNX┖
인공지능(AI) 기술의 발전은 사이버보안 환경의 변화와 새로운 형태의 위협 또한 가져왔다. APT(Advanced Persistent Threat), 랜섬웨어 등의 위협들이 더욱 정교해지고 고도화되면서 단순히 사전에 정의된 패턴에 의해 탐지하는 솔루션만으로는 대응이 어려워지게 되었다.
과거에는 전통적인 방화벽, 침입 방지 시스템(IPS), 안티바이러스(Anti-Virus)와 같은 보안 솔루션이 대부분의 위협을 방어할 수 있었으나 현재의 네트워크 환경은 클라우드 컴퓨팅, 사물인터넷(IoT), 모바일 장치와 같이 다양한 기술로 확장되면서 공격대상 접점의 증가 및 공격자들의 내부 구간 정찰, 측면 이동 등의 위협 행위를 초래해 네트워크 내·외부에서 발생하는 다양한 형태의 위협에 능동적으로 대응하기 어렵다.
이렇게 눈으로 보이지 않는 네트워크 트래픽 상에서 발생하는 고도화된 사이버 위협들을 한 눈에 파악할 수 있는 가시성을 확보하고 네트워크 내부에서 발생하는 비정상적인 활동을 조기 탐지하고 이에 대응하는 기능을 제공하는 솔루션이 바로 NDR(Network Detection and Response) 솔루션이다.
샌즈랩의 MNX는 AI 기반의 인사이트 생성과 네트워크 포렌식 기능을 갖춘 차세대 NDR 솔루션이다. 네트워크 내에서 발생하는 이상징후나 행동을 탐지해 관리자에게 즉각 경고 알림을 보내주고 확인해야 할 정보를 인사이트 형태로 제공한다. 내부에서 어시스턴트 역할을 수행하는 자동화 체계로 관리자의 업무를 경감시키고 빠른 의사 결정을 도와 위협에 대한 신속한 대응이 가능하게 한다.
MNX는 네트워크 패킷을 실시간으로 고속 수집해 L7 레이어인 프로토콜과 애플리케이션 단위까지 식별해 네트워크 전반에 걸쳐 모든 트래픽을 추적·분석하고 모니터링할 수 있다. 또한 안티바이러스, AI를 활용한 심층 분석 기술을 통해 알려지지 않은 위협이나 제로데이(Zero-Day) 공격에 대한 강력한 탐지율로 네트워크 보안을 한층 더 강화할 수 있다.
Virus total 등의 다양한 인텔리전스와 연동해 파일에 대한 상세한 분석 정보를 제공하는 것도 MNX의 특징 중 하나다. 특히 샌즈랩의 인텔리전스 서비스인 CTX와 연동 시 연관된 공격 그룹, 캠페인 정보를 파악할 수 있어 구체적인 네트워크 보안체계를 수립할 수 있다.
또한 위협을 탐지·분석하는 것에 그치지 않고 모든 네트워크 패킷을 일정 기간 기록해 위협 시점을 역추적할 수 있는 포렌식 기능인 네트워크 블랙박스는 위협 발생 당시의 PCAP 파일을 제공해 침해사고 발생 후의 확산을 막고 피해를 최소화할 수 있다.
MNX의 도입은 내부 네트워크 환경과 AI로 고도화된 사이버 위협을 실시간으로 감지하고 효과적으로 대응할 수 있는 최적의 솔루션이자 필수적인 조건이다.
▲국내 최초 SIEM, SOAR, NDR 통합 XDR 솔루션[이미지=쿼리시스템즈]
[통합보안 솔루션 집중분석-6]
보안관제 자동화를 위한 XDR 솔루션
국내 최초 SIEM, SOAR, NDR 통합 XDR 솔루션-QTIE(큐티)
지금까지 보안관제 체계는 심층 보안, 다계층 보안을 목표로 다양한 보안 솔루션을 구축하고, 이기종 보안 솔루션 로그를 하나의 SIEM에 수집한 뒤 인적 관제를 통한 분석과 대응 업무를 하는 형태로 구현됐다. 하지만 최근 들어 과거 대비 더 다양한 보안 솔루션, 더 많은 보안 로그, 더 고도화되는 위협에 대응하기 위해 과거의 보안관제 문제점을 해결할 수 있는 차세대 보안관제 시스템을 검토하는 기관과 기업이 늘어나고 있다.
보안관제 자동화 및 탐지 대응 자동화 솔루션
차세대 보안관제 체계를 관통하는 키워드 중의 하나는 자동화다. 그리고 보안관제 자동화를 구현하기 위한 핵심 키워드 중의 하나는 바로 정확한 위협 탐지다. 그동안의 보안 솔루션들은 패턴, 평판, 샌드박스, 상관분석 등의 다양한 기술을 통해 얼마나 정밀하게 위협을 탐지할 수 있는지에 대한 개발에 집중했다. 하지만 보안관제 자동화를 위해서는 정밀한 분석은 필요조건 중의 하나가 되었고, 얼마나 정확하게 위협을 식별할 수 있는 지가 보안관제 자동화 구축을 위한 가장 중요한 요소가 됐다.
‘쉽고’ ‘편하고’ ‘빠르게’
QTIE(큐티)의 개발 모토 중의 하나는 ‘쉽고’ ‘편하고’ ‘빠르게’다. 누구나 쉽고 편하고 빠르게 검색하고 운영할 수 있는 검색 및 분석 엔진과 UI/UX를 제공하는 것이다. QTIE는 인 메모리 기반의 엔진과 인덱스 엔진을 활용해 초당 100억건 이상의 검색 속도를 지원하고, 필드 선택 방식의 검색과 구글 검색, 스플렁크 검색 스타일의 검색 문법과 통계 함수 지원을 통해 보다 빠르고 편하게 원하는 이벤트를 검색하고 분석할 수 있다.
정밀하고 정확하게
QTIE는 정밀한 분석과 가시성 확보를 위한 자체 NDR 솔루션인 QTIE Threat Detector와 SIEM, SOAR 기능을 하나의 플랫폼으로 통합·개발됐다. 또한 다중 상관분석과 연관분석 중심의 플레이북과 지도 및 비지도 기반 머신러닝 기능을 제공함으로써, Rule 기반 상관분석 정책에서 탐지하기 어려운 이상 징후 및 비정상 데이터를 탐지할 수 있다. 이와 함께 다양한 기업, 기관에서의 프로젝트를 통해 축적된 노하우를 제조사 권장 플레이북으로 무상 제공하고 있으며, 총 30만개 이상의 시그니처와 100만개 이상의 위협 정보, 700개 이상의 플레이북을 권장 정책으로 적용해 지속적으로 업데이트를 제공함으로써 보안관제 정책을 항상 최신화할 수 있다.
다수의 지능형 위협 탐지 자동차단 체계 구축 사례 보유’
차세대 XDR 솔루션 QTIE의 또 다른 강점은 위협을 오탐 없이 정확하게 식별하고 탐지할 수 있는 다수의 특허 기술과 정책 기반 위에서 기능이 구현되어 신뢰성이 높다는 것이다. 대량의 로그가 발생하는 금융·기업·공공 등 대형 사이트에 위협 식별 및 자동차단(대응) 체계를 구축·운영하고 있다는 점은 가장 큰 장점으로 꼽히고 있다. 또한 SIEM, SOAR, NDR의 모든 기능을 통합 제공함으로써, 개별 솔루션 관리 또는 개별 솔루션만을 운영하거나 연동할 때 발생하는 문제 없이 각각의 솔루션이 제공하는 장점을 극대화해 운영할 수 있는 솔루션이다.
[원병철 기자(boanone@boannews.com)]
모두를 만족하는 ‘통합’ 쉽지 않지만, 통합보안은 꾸준히 간다
UTM 등 통합보안 솔루션부터, 직접 ‘통합’ 하려는 솔루션까지 다양해
[설문조사] 통합보안 솔루션에 대한 사용자 선호도 조사 결과
통합보안 솔루션 집중분석 : 안랩, 제이슨, SGA솔루션즈, 넷스카우트, 샌즈랩, 쿼리시스템즈
[보안뉴스 원병철 기자] 코로나 펜데믹으로 촉발된 업무환경의 변화와 디지털 전환 가속화로 IT 환경은 다변화됐고, 인공지능과 클라우드의 폭발적인 증가는 업무의 편리성을 높여주었다. 하지만 급격한 변화에 따른 틈을 노린 사이버 위협도 크게 늘면서, 이에 대응하기 위한 다양한 보안 솔루션의 도입이 증가했다. 문제는 이렇게 늘어난 보안 솔루션을 제대로 다룰 수 있는 보안전문가가 부족해졌다는 사실이다. 때문에 기관과 기업들은 여러 보안 솔루션을 한데 묶어 관리할 수 있는 통합보안에 목말라했고, 보안 기업들은 각기 다른 기술을 결합·연계해 효율적으로 운영할 수 있는 솔루션과 플랫폼을 연구하기 시작했다.
[이미지=gettyimagebank]
점점 더 정교해지는 사이버 공격과 복잡해지는 IT 환경, 그리고 이를 노리는 다양한 사이버 위협으로 인해 보안 솔루션 역시 급증하고 있다. 특히 최근 한국을 대상으로 한 공격이 늘고 있다. 보안업계에 따르면 2023년 11월 행정 전산망 마비로 전 세계 해커들의 관심을 끈 탓인지 한국은 세계에서 공격대상 5~6위 수준이라고 한다. 문제는 이렇게 늘어난 사이버 위협에 대응하고 보안 솔루션을 운용할 보안전문가의 숫자는 이에 미치지 못한다는 사실이다.
실제로 세계경제포럼(WEF, 다보스 포럼)은 ‘2024년 글로벌 사이버보안 전망’ 보고서에서 글로벌 사이버보안 인력이 약 400만명이 부족하며, 그 수치는 계속 늘어날 것으로 전망했으며, 보안기업 포티넷은 ‘2024 글로벌 사이버보안 기술격차 보고서(2024 Global Cybersecurity Skills Gap Report)’에서 사이버보안 인력 부족이 보안위협 증가의 주요 원인으로 지적되며 보안사고로 인한 피해 규모가 커지고 있다고 발표했다. 스플렁크도 많은 기업들이 핵심·숙련 보안 인력 확보에 어려움을 겪고 있으며, 특히 경기침체 속에서 인재 채용과 유지가 더욱 힘들어지고 있다는 보고서를 발표한 바 있다.
UTM부터 SIEM과 SOAR까지, 다양한 통합보안 솔루션 등장
늘어나는 보안위협에 맞서 조직은 다양한 보안 솔루션을 도입하지만, 이를 운용할 보안전문가가 부족한 상황이 이어지자 개별로 운용되는 보안 솔루션을 하나로 묶어주거나 아예 다양한 기능을 제공하는 보안 솔루션이 시장에 등장하기 시작했다. 바로 통합보안 솔루션이다.
대표적인 것이 바로 UTM(Unified Threat Management, 통합위협관리)이다. UTM은 다양한 보안 기능을 하나의 장비와 소프트웨어로 통합해 관리해주는 네트워크 보안 시스템이다. 각 제조사나 제품마다 다르지만, 방화벽, 침입 탐지 및 방지 시스템(IPS), 웹 필터링, VPN, 스팸메일 필터링 등 다양한 기능을 제공한다. 마치 스위스 나이프처럼 다양한 도구가 한 제품에 합쳐 있는 것과 같다.
그런데 UTM은 글로벌 IT 컨설팅 기업인 가트너가 발표하는 매직쿼드런트(Magic Quadrant)에서 NGFW(Next Generation Fire Wall, 차세대 방화벽)와 그 기능이 겹친다는 이유로 2019년 집계부터 삭제됐다. 즉, NGFW 역시 통합보안 솔루션이며, 다양한 기능을 제공하거나 다른 보안 솔루션을 통합하는 것은 오래전부터 진행된 일이라는 얘기다.
최근 두각을 나타내는 통합보안 솔루션으로는 SIEM(Security Information & Event Management : 보안 정보 이벤트 관리), EDR(Endpoint Detection and Response : 엔드포인트 탐지 및 대응), SOAR(Security Orchestration, Automation, and Response : 보안 오케스트레이션, 자동화 및 대응) 등이 있으며, 이밖에 ESM(Enterprise Security Management : 통합보안 관제 시스템), CSA(Consolidated Security Architecture, 통합보안 아키텍처), UEBA(User and Entity Behavior Analytic : 사용자 및 엔티티 행동 분석), TI(Threat Intelligence : 위협 인텔리전스) 등도 통합보안 솔루션으로 분류된다.
실제로 통합보안 시장은 빠르게 성장하고 있다. 특히 한국 시장에 비해 글로벌 시장의 성장 속도가 더 빠른 편이다. 특히 최근에는 이와 같은 개별 솔루션의 기능에 대한 연계와 연동을 중심으로, 각 솔루션의 다양한 기능을 하나로 통합하는 ‘통합 플랫폼’ 형태로 결합하는 추세도 보인다.
다만 ‘원밴더 솔루션’, 즉 1개 기업의 솔루션으로 통합보안을 완성하는 것은 어려울 것으로 다들 보고 있다. 고객들 역시 통합보안 체계 구축을 목적으로 중복투자 방지, 기존 사일로 기반의 보안관리도구 통합 등의 방식으로 통합보안을 추진하고 있다. 업계에서는 현재 통합보안이 전반적으로 통합보안을 관리·통합하는 영역, 탐지의 영역, 그리고 차단 및 완화, 보안 연결성 등을 보장하는 영역으로 크게 나누어지고 있는 것으로 보고 있다. 특히 이러한 구조에서 가장 중요하게 생각하는 분야는 자동화로, 당장 자동화를 위한 통합보안 구성이 어렵기에 통합보안 관리(Orchestration)를 시작으로 AISecOps로 진화하는 것 같다는 의견도 나오고 있다.
통합에 목마른 고객들, 인하우스 개발에 나서다
업계에 따르면, 한국의 한 글로벌 기업은 전 세계에서 사용하는 방화벽을 권역별로 관리하고 있었다. 문제는 접점이 있는 방화벽만 1,500개가 넘어 관리하는 데 많은 어려움을 겪고 있다는 점이다. 때문에 이를 다 묶어서 관리할 수 있는 솔루션을 찾았지만 그게 여의치 않았고, 우선 가시성 확보에 우선하고, 여기에 다른 보안 장비를 접목하는 방법을 찾고 있다고 한다.
이처럼 사용자들은 여러 보안 솔루션을 통합·운용할 방법을 찾고 있지만, 니즈에 100% 부합하는 솔루션은 찾아보기 힘든 상황이다. 이에 직접 제품 개발에 나선 고객들이 늘고 있다. 실제로 신한은행과 농협은행 등 금융권에서는 AI 플랫폼을 직접 구축하고 있고, 사용 중인 여러 솔루션에서 나온 데이터를 모아 관리하려고 준비 중이다.
물론 쉬운 일이 아니다. 예를 들면, 솔루션별, 기업별 사용하는 용어도 서로 다르고, 사용하는 데이터도 다르기 때문에 이를 통합하는 작업도 만만치 않다. 특히 업계에서는 데이터를 통합하고 수집하는 것에 주력하고 있다. 일례로 몇몇 글로벌 보안기업은 자사의 서비스를 이용하는 고객사의 고유 데이터를 서비스 비용을 깎아주며 공유받는 등 데이터를 모으고 있는 것으로 알려졌다. 업계에서는 AI가 좀 더 발전하면 이러한 노력이 쉬워질 것으로 보고 있지만, 현재 상황에서는 그것도 쉽게 해결될 것 같지는 않다.
국내외 대표 통합보안 기업들의 개발 방향
그렇다면 실제 보안기업들은 어떻게 움직이고 있을까? 국내에서 통합보안 시장을 움직이는 기업들은 넷스카우트, 로그프레소, 리니어리티, 샌즈랩, 시스코, 시큐레이어, 시큐리온, 시큐아이, 시큐어시스템즈, 안랩, 에스지에이솔루션즈, 에스큐브아이, 에스투더블유, 엘라스틱, 윈스, 이글루코퍼레이션, 이너버스, 이스트시큐리티, 제이슨, 주니퍼, 지란지교에스엔씨, 체크포인트, 케이엑스넥스지, 케이티, 쿼리시스템즈, 큐비트시큐리티, 트렌드마이크로, 팔로알토 네트웍스, 포티넷, 퓨쳐시스템, 플랜티넷 등(업체명 가나다순)이다.
글로벌 기업들은 네트워크 보안 솔루션 기업들이 UTM을 중심으로 통합보안 시장을 이끌고 있는데, 특히 최근에는 SOAR, AISecOps 등을 포함해 UTM을 구성하는 기업들이 늘고 있다. 반면에 탐지에 우선순위를 두는 솔루션도 확대되고 있다. NDR을 중심으로 한 이 솔루션은 주로 금융권과 제조 대기업 중심으로 시장을 형성하고 있다.
이에 따라 보안기업들은 “어떻게 통합할 것인가”를 고민한다. 앞서 설명했듯 통합보안의 영역은 너무나 넓고 다양하며, 전문화됐기 때문에 통합보안 운영의 방법론은 고민일 수밖에 없다. 여기에 인공지능 발전 방향성도 통합보안에 큰 영향을 미칠 것이기 때문에 더욱 앞날을 예측하기 어려운 상황이다.
대표적인 통합보안 기업들의 움직임을 살펴보면, 우선 넷스카우트의 경우 보안 위협의 차단, 완화를 위한 DDoS 및 Threat Intelligence Gateway 솔루션과 Network Security 분야의 NDR 솔루션에 집중해 통합보안 솔루션 구성을 지원하고 있다. 이를 기반으로 다양한 형태 및 종류의 침해 위협을 탐지하고 정책에 따라 보안 위협을 차단 및 완화하며, 나아가 머신러닝(Machine Learning) 기반의 보안 위협 탐지, 차단의 자동화에 집중하고 있다는 것. 결국 통합보안의 개념을 탐지와 차단의 통합 관리 방안으로 진행하고 있다는 설명이다.
안랩은 XDR과 SIEM, SOAR, TI까지 다양한 솔루션을 SaaS 형태로 하나의 플랫폼으로 구현해 제공한다는 설명이다. 이와는 조금 다르게 NG-SIEM, XDR, EDR 등의 솔루션에 AI와 SOAR 제품 등 기술을 내재화해 통합을 구현하기도 한다고 덧붙였다. 또한, 올해에 들어서는 다양한 솔루션을 연계해 보다 최적화된 통합 보안과 보안 대응 자동화를 구현하기 위해 AI 및 머신러닝 기술을 적극적으로 활용 중이라고 밝혔다.
안랩이 인수한 AI 보안 스타트업 제이슨은 최근 확장성과 유연성을 높여주는 클라우드 기반 SIEM 솔루션 채택이 증가하고 있다면서, 자사의 SIEM 기능을 클라우드 접근 보안 중개 서비스(CASB), ID, 엔드포인트, 네트워크, 운영기술(OT), 사용자 및 엔터티 행동 분석(UEBA), SOAR 도구와 같은 다른 보안 제품과 통합하는 추세가 커지고 있다고 설명했다.
쿼리시스템즈는 통합보안 시장은 인공지능, XDR 체계 적용 등을 통한 보안관제 업무 자동화 및 체계 구축을 위한 필수 솔루션으로 성장하고 있다고 강조하고, 특히 업무 자동화와 위협 자동대응체계 구축이 핵심이라고 봤다.
▲국내외 대표 통합보안 솔루션(가나다순)[자료=보안뉴스, 각 사 자료]
통합보안 발전의 걸림돌은 아이러니하게도 ‘통합’
물론 통합보안의 필요성은 누구나 인정하는 바이지만, 산업으로 성공하기는 쉽지 않은 일이다. 그렇다면 업계에서 보는 가장 큰 걸림돌은 무엇일까? 아이러니하게도 통합보안의 가장 큰 문제는 ‘통합’이다. 과거에는 통합보안 솔루션 도입을 통해 보안 솔루션 로그 통합만을 구현하면 됐지만, 최근에는 위협자동대응 연동까지를 고려해야 하며, 이를 위해서는 API 지원이 필수다. 많은 기업이 API를 지원하지만, 아직 일부 소극적인 기업이 있어 어려움이 있다는 것. 특히 경쟁사의 경우 API를 한정적으로 제공하는 경우도 있다고 업계에선 설명한다.
한편, 모든 솔루션이 개발단계부터 연동을 염두에 두고 개발하는 것이 아니기 때문에 통합에 활용할 수 있는 API가 한정적인 경우도 있다.
거론되는 또 다른 문제는 도입비용과 조직의 니즈를 100% 만족시킬 수 있는 통합보안 솔루션의 부재다. 도입비용의 경우 통합보안 솔루션이 충분한 통합효과를 발휘하기 위해서는 우선 다양한 보안 솔루션을 갖고 있어야 하는데, 그런 조직이 생각보다 많지 않다는 거다.
또한 통합보안 솔루션을 도입할 여력이 있는 조직의 경우, 조직이 생각하는 것과 통합보안 솔루션들이 실제 구현할 수 있는 것에 차이가 있기 때문이라고 보는 시각도 존재한다. 때문에 통합보안 솔루션 기업들은 모든 분야를 설명하고 조직의 현재 환경에서 최적화된 방식을 고려해 솔루션을 제안해야 하며, 그 과정이 쉽지 않다는 설명이다.
▲통합보안 솔루션에 대한 사용자 선호도 조사[자료=보안뉴스]
통합보안에 대한 사용자 선호도 조사
이처럼 통합보안에 대한 니즈는 갈수록 늘고 있고, 보안기업들 역시 통합보안 솔루션 개발에 팔을 걷고 있다. 그렇다면 실제 기관과 기업들은 통합보안 솔루션을 얼마나 도입하고 어떻게 사용하고 있을까? 이와 관련 <보안뉴스>와 <시큐리티월드>는 2024년 8월 12일부터 20일까지 9일간 약 10만여명의 보안담당자에게 ‘통합보안 인식 및 선호도 조사’를 실시했다. 이번 설문 조사에는 공공(27.7%)과 민간(72.3%)의 보안담당자 2,241명이 답했다.
우선 통합보안 솔루션 도입을 얼마만큼 했는지 물어봤다. 응답자의 64.3%가 통합보안 솔루션을 도입해 운영하고 있으며, 24.1%는 아직 도입하지 않았다고 응답했다. 또한 11.6%는 도입 예정이라고 밝혔다.
그렇다면 통합보안 솔루션을 도입한 응답자들은 어떤 솔루션을 사용하고 있을까?
가장 많이 사용하는 솔루션은 UTM(Unified Threat Management, 통합 위협 관리)으로 23.3%가 선택했다. 이어 ESM(Enterprise Security Management : 통합보안 관제 시스템) 21.9%, SIEM(Security Information & Event Management : 보안 정보 이벤트 관리) 17.4%, NGFW(Next-Generation Firewall, 차세대 방화벽) 16.5%, EDR(Endpoint Detection and Response, 엔드포인트 탐지 및 대응) 14.3%, CSA(Consolidated Security Architecture, 통합보안 아키텍처) 2.2%, SOAR(Security Orchestration, Automation, and Response : 보안 오케스트레이션, 자동화 및 대응) 1.8%, UEBA(User and Entity Behavior Analytic : 사용자 및 엔티티 행동 분석) 1.3%, TI(Threat Intelligence : 위협 인텔리전스) 1.3% 순으로 응답했다.
통합보안 솔루션을 사용하는 응답자들은 솔루션 만족도에 높은 평가를 주었다. 만족한다는 응답이 39.3%였으며, 매우 만족한다는 응답도 12.5%였다. 불만족(2.7%)과 매우 불만족(0.9%)은 합쳐도 3.6%에 불과했다. 다만 과반인 44.6%는 보통이라고 답했는데, 이는 만족한다는 응답일 수도 있지만, 뭔가 아쉽다는 응답일 수도 있다. 앞서 설명했던 것처럼 통합보안은 아직 사용자의 니즈를 완전하게 받아주지 못하기 때문이다. 이어 앞으로 추가하고 싶은 통합보안 솔루션에 대해 묻자 18.8%가 SOAR를 선택했으며, 17.0%가 EDR을 선택했다. 다음으로 14.3%가 NGFW을 선택했다. 이어 ESM(13.4%), UTM(10.3%), SIEM(8.9%), UEBA(7.6%), CSA(5.7%), TI(4.0%) 순으로 꼽았다.
한편, 조직에 통합보안 솔루션을 운영할 담당자가 있냐는 질문에 44.7%가 1명이라고 답했으며, 21.4%는 없다고 답했다. 2명(17.4%)과 5명 이상(8.9%), 그리고 3명(5.4%)과 4명(2.2%)이 뒤를 이었다.
고객의 니즈와 업계의 간극 좁히기
업계에선 고객들이 생각하는 원클릭 솔루션은 어렵다고 말한다. 하지만 방향성은 맞다고 생각하며, 많은 기업들이 이를 위해 노력하고 있다고 설명한다. 다만 각자가 원하는 요구사항이 다 다르고, 데이터를 통합하기가 쉽지 않기 때문에 인하우스 개발을 하는 고객들이 늘고 있다고 봤다. 특히 자신이 가진 데이터를 외부 솔루션에 담는 것을 싫어하는 고객들은 VPN도 API를 요구하고 있다. 실제로 미국 통신사들도 오픈 API를 차용해 활용하는 방향을 고수하고 있다.
또 다른 문제는 운영하는 담당자다. 사람을 구하기 어려워 통합보안 솔루션을 원하지만, 그 역시도 다룰 수 있는 담당자가 필요하며, 담당자를 통해 자동화를 위한 정교한 정책도 만들 수 있다는 얘기다. 운영할 수 있는 전문가의 부족을 메우기 위해 자동화를 하고 문서를 만들어도 그 전문성을 완벽하게 메울 수 없다는 것이 보안업계의 공통된 지적이다. 인공지능이 현재 대안으로 떠오르고 있지만, 아직 플레이북 수준의 자동화(Automation)이며, 우리가 원하는 수준의 인공지능이 나오기까지는 최소 2030년, 혹은 그 이상의 시간이 필요할 것으로 보고 있다.
이에 따라 통합보안 솔루션에 대한 고객들의 니즈는 앞으로도 계속될 것으로 보이며, 보안기업들의 도전 역시 계속 이어질 것이다.
▲AhnLab SOAR 개념도[이미지=안랩]
[통합보안 솔루션 집중분석-1]
보안 오케스트레이션 및 자동화 플랫폼
AhnLab SOAR, 보안의 복잡성을 푸는 열쇠
AhnLab SOAR는 보안 관제 분야에서 오랜 기간 축적된 안랩의 기술력과 노하우를 집약시킨 SOAR 솔루션이다. 표준화된 플레이북과 자유로운 편집 기능을 제공하며, 다양한 솔루션과의 연동을 통해 오케스트레이션 개념을 업무에 도입할 수 있다. 프로세스 자동화와 머신러닝 기반 분석 모듈로 위협 요소를 자동 식별하고, 식별된 요소로 위협을 추론해 대응 업무의 효율성을 향상시킬 수 있다.
오케스트레이션과 자동화로 효율적인 보안 구현
AhnLab SOAR는 위협 대응 프로세스에 속해 있는 각 태스크(Task)를 조절한다. 사람의 개입과 자동화를 적절하게 조율해 업무 수행을 최적화시키는 것이다. 안랩 제품을 기본으로 고객사에서 많이 사용하는 SIEM, 로그관리 시스템, TI, 업무지원 시스템과 연동도 가능하다. 고객사 내부 자체적인 시스템과의 연동은 커스터마이징을 지원한다. 이밖에, 발생한 이벤트에 해당하는 대응 프로세스를 자동으로 매칭해준다. 필수 수행 플레이북과 플레이북의 테넌트(Tenant) 및 레이블(Label) 정보를 매칭시켜주는 기능도 갖췄다.
또한, AhnLab SOAR는 추상적인 개념의 워크플로우를 구체화하고 태스크 별로 정의해 플레이북으로 제작할 수 있도록 한다. 재사용성이 높은 안랩의 보안 관제 노하우가 적용된 ‘Built-in Playbook’도 제공한다. 업무의 비즈니스 로직, 위험도 판단을 위한 계산식 및 추가적인 정보 수집을 위한 내용 등을 스크립트로 구현해 즉각적으로 업무 효율성을 개선할 수 있다. 또, 추가된 스크립트는 스크립트 라이브러리를 통해 관리한다.
원활한 협업을 위해 최적화된 플랫폼
AhnLab SOAR 사용자는 실행 중인 모든 케이스를 처리가 완료될 때까지 진행 상황 관리가 가능하다. 케이스 처리 상세 화면을 통해 케이스 생성, 진행 상태, 처리시간 등을 실시간으로 제공하며, 유형별 위험도 현황 리스트도 확인할 수 있다. 동일 유형의 이벤트는 관리자가 설정한 조건에 따라 하나의 케이스로 축약해 불필요한 작업을 최소화할 수 있다. 대응 내역과 의사결정 증적 관리, 대응 근무자와 분석가 간 원활한 커뮤니케이션도 지원된다.
▲JMachine[이미지=제이슨]
[통합보안 솔루션 집중분석-2]
다차원 데이터 분석으로 실시간 위협 탐지와 대응 능력 강화
제이슨, 보안 침해와 정보 유출 통합관리 솔루션
기술의 지속적 발전으로 인해 구조가 복잡해지고, 다양한 종류의 디바이스와 애플리케이션이 사용됨에 따라 기업의 보안 솔루션 도입은 필수 요소가 됐다. 기업들이 보안 침해(SIEM)와 정보 유출(UEBA) 시스템을 독립적으로 운영하지만, 이러한 운영은 시스템 내부에서의 보안 위협을 포착하고 대응하는 데 있어 제한적인 접근방식이므로 시스템 전체적인 보안을 저하할 수 있다. 이러한 어려움을 해결하기 위해 인공지능 기술(AI)을 이용해 보안 침해 이벤트와 사용자 행동 데이터를 종합적으로 탐지하고 분석함으로써, 보다 정교한 위협 탐지와 실시간 대응 능력이 탑재된 보안 솔루션이 필요하다.
진화되는 위협에 대처하기 위한 정밀한 이상징후 탐지 솔루션 ‘JMachine’
제이슨의 AI 이상징후 탐지 시스템 ‘JMachine(제이머신)’은 빅데이터 기반 인공지능(AI) 학습을 통해 보안 침해(SIEM)와 정보 유출(UEBA)에 대한 통합관리를 지원한다. 가변 임계치, 수치 이상 탐지, 그리고 군집 내 이상징후 등의 기능으로 정밀하고 자동화된 탐지와 분석 및 대응 서비스를 제공하는 것이 특징이다.
빅데이터를 통해 대량의 데이터를 학습한 후, 각 탐지 대상의 특성을 반영한 임계치를 자동으로 생성해 정밀하게 이상징후를 탐지한다. 또한, 탐지 대상의 행위 패턴을 분석하고 학습해 과거 패턴과 다른 이상 행위를 자동으로 감지해 이상징후를 정확하게 식별해준다.
내부자 정보 유출(UEBA)의 경우 가변 임계치, 수치 이상 탐지와 더불어 군집 분석을 통해 탐지 대상의 행위 데이터를 분석하고, 이상 행위자를 식별해 기업의 중요 정보 유출을 사전에 방지할 수 있다.
이러한 탐지 이벤트들은 ‘AI 이벤트 자동 대응’을 통해 AI가 이벤트의 탐지 결과를 분석하고 보안 위협을 식별해 주어, 운영자의 직접적인 대응 방식에 비교해 오탐으로 인한 시간, 비용 자원 낭비를 혁신적으로 줄여준다.
‘JMachine’은 이러한 기능을 통해 국내 다수의 대기업에 구축돼 정보 유출을 탐지한 실제 사례를 보유하고 있으며, 축적된 보안 노하우로 사이버 보안과 IT 운영을 지속적으로 혁신할 수 있는 시스템과 서비스를 제공한다.
▲SGA ZTA’ 솔루션 개요[이미지=SGA솔루션즈]
[통합보안 솔루션 집중분석-3]
보안 패러다임 전환의 시대, 전통적인 보안체계의 한계를 넘어 차세대 통합보안을 달성하기 위한 유일한 대안 : 제로트러스트 보안
에스지에이솔루션즈, 패러다임 전환 차세대 통합보안 솔루션 ‘SGA ZTA’ 공급
현재의 보안은 해킹 기술의 고도화와 이를 탐지·방어하기 위한 기술의 고도화와 맞물리며 정체된 형국이다. 새로운 보안 제품이 시장에 등장한다고 해도 기술적·개념적으로 크게 새로울 것이 없는 현시점에서, 이를 타파할 새로운 보안 개념이 등장했다. 미국 국립표준기술연구소(NIST)에서 제시한 ‘제로트러스트 보안(NIST SP 800-207)’이 그것이다. SGA솔루션즈는 선제적으로 패러다임 전환이 필요한 시점을 간파하고 제로트러스트 보안 솔루션을 개발하기 위해 2021년부터 많은 자원을 투입해 개발에 착수했다. 그 결과, 2023년 제로트러스트 통합보안 솔루션인 ‘SGA ZTA’를 출시했다. 또한, 제로트러스트 보안모델 실증사업을 수주하며 기술력을 입증했고, 이러한 결과들을 기반으로 기업들에게 제로트러스트 보안을 적극적으로 제시하고 있다.
차세대 통합보안 시장을 선도하는 ‘SGA ZTA’
‘SGA ZTA’는 미국 국립표준기술연구소가 발표한 ‘NIST SP 800-207’과 한국인터넷진흥원의 ‘제로트러스트 가이드라인 1.0’을 준용하는 제로트러스트 보안 솔루션이다. ‘SGA ZTA’는 제로트러스트 아키텍처를 완전하게 구성할 수 있는 Full-Stack ZTA를 제공한다. SGA솔루션즈는 엔드포인트에서 서버까지 전 영역에 걸쳐 자체 기술 기반의 솔루션을 개발 및 공급하고 있다. SGA ZTA에서 제공하는 제로트러스트 아키텍처에는 이러한 단위 제품들을 개발하고 발전시켜온 역량을 결집해 핵심구성 요소로써 제공한다.
제로트러스트 아키텍처를 구현하기 위한 핵심구성 요소들은 기존 각 영역의 제품들을 제로트러스트 환경에 맞도록 재구성하고 커스터마이징해, 최적화된 제로트러스트 통합보안 솔루션으로 제공할 수 있다. 결국 제로트러스트 보안 솔루션은 기존의 경계기반 보안을 넘어서 사용자와 디바이스를 고려한 엔드포인트 영역에서부터 서버, 시스템 영역에 이르는 모든 영역에서 암묵적 신뢰를 최소화하는 새로운 관점의 차세대 통합보안 솔루션이라고 할 수 있다. 즉, 엔터프라이즈 리소스 영역에서 ‘시스템’, ‘데이터’, ‘애플리케이션’에 대해서 제로 트러스트 보안 영역의 확대 적용으로 빈틈없는 보안을 적용할 수 있고, 이러한 것을 가능하게 하는 것이 SGA솔루션즈의 제로트러스트 보안 솔루션 ‘SGA ZTA’이다.
변화하는 환경에 문제없이 대응 가능한 제로트러스트 보안, ‘SGA ZTA’
SGA ZTA는 전통적인 레거시 인프라 환경과 클라우드 환경을 모두 통합해 적용할 수 있으며, 도입 초기의 환경 측면의 분석 등을 통해 제로트러스트 보안 도입을 진단해 볼 수 있다. 또한 SGA솔루션즈는 제로트러스트 보안 솔루션의 지속적인 기술 발전과 관련 생태계와의 협업 체계를 구축하기 위해 핵심 구성 보안 솔루션들에 대한 연동과 커스터마이징을 제공하며, 이를 확대 적용해 제로트러스트 보안 구성을 완성하고, 시장 선도역할을 하고자 한다.
▲NETSCOUT Omnis Cyber Intelligence[이미지=넷스카우트]
[통합보안 솔루션 집중분석-4]
디지털 생태계에서 위협 탐지와 관리 강화는, 진화하는 사이버위협으로부터 서비스 보호의 필수 대응체계
넷스카우트, 빠르게 진화하는 사이버 위협 대응의 최적화 방안 제시
디지털 생태계의 변화는 매우 빠르게 진행되고 있다. 클라우드 도입과 데이터센터 운영, 수많은 원격지, 지사에서의 서비스 접속과 IoT 등의 확대에 따른 네트워크 연결 접점의 폭발적인 증가 등, 분산된 서비스 환경에 대한 복잡한 네트워크 전반의 가시성과 관리는 더욱 어려워지고 있다. 결국 전체 네트워크의 포괄적인 가시성은 모든 보안 위협 탐지와 대응의 기본 요소가 되어야 하며, 이를 통해 사이버 안전을 위협하는 문제를 신속하게 식별하고, 정확히 진단하는 효율적인 관리 방안을 가져야만 한다. 경계 없는 네트워크의 정확한 감시만이 가시성 격차를 해소하고, 보안 위협, 침해 사고에 대한 대응방안 최적화와 자동화 토대를 만들 수 있다.
‘넷스카우트 Omnis™ Cyber Intelligence’는 심층 패킷 검사(DPI, Deep Packet Inspection)를 기반으로 하는 고급 네트워크 위협 탐지 및 대응을 위한 포괄적인 플랫폼으로, 기업은 네트워크에 대한 완벽한 보안 가시성을 확보하고 높은 정확도로 취약성과 위협을 식별할 수 있다. 또한 모든 보안 이벤트를 관리하고 데이터 기반의 통찰력을 위한 데이터 연계 인터페이스를 제공해, SIEM/SOAR 및 XDR을 통한 자동화 기반 조성, 조직의 더 빠르고 효율적으로 보안 위협을 조사하고 관리할 수 있는 통합보안 완결성의 한 축을 담당한다.
다차원 위협 탐지(Multidimensional Threat Detection)를 통한 문제 해결
넷스카우트 OCI(Omnis Cyber Intelligence)의 네트워크 계측과 모니터링은 모든 플랫폼(Legacy Network, Virtualization, Hybrid & Multi Cloud 등)을 지원하는 비용 효율적인 배포 방식을 제공하며, 넓고 깊은 네트워크 위협 가시성과 심층적인 패킷 포렌식 분석까지 내장하고 있다. 네트워크 기반 기술에 다차원 보안 위협의 탐지를 접목해 사이버 공격 감지 전반에 대한 문제를 쉽게, 그리고 조기에 식별해 침해 위협에 대한 네트워크 대응 시간을 단축하고 사전 예방적인 접근 방식으로 보안을 강화한다.
다양한 사이버 공격 방식을 동시에 탐지해, 보안 운영의 오탐 및 과탐을 최소화하는 방식을 제공함으로써, 기업의 보안 운영 전반의 리소스 낭비를 줄이고, 특히 SoC 운영 인력의 편의성 기반에 최적화된 보안체계 유지 관리의 효율성을 보장한다. 또한 내장된 IDS를 기반으로 사용자 행위에 대한 이상 행위 탐지와 동작의 손쉬운 탐지를 보장한다.
SoC의 운영 부담 감소와 자동화된 보안 위협 탐지
네트워크를 통한 전 세계의 서비스 접점에서 빠르게 변화하는 보안, 침해 위협에 대한 정보를 신속히 취득하고, 다양한 공격과 정상적인 네트워크 운영을 빨리 식별할 수 있는 방안은 매우 중요하다. OCI의 AIF(ATLAS Intelligence Feed)는 전 세계 인터넷 트래픽의 50%를 지금도 모니터링하고 있으며, 이를 통해 실시간 보안 위협을 빠르게 업데이트하고 OCI로 전달한다. 현재 기업에서 운영 중인 네트워크와 서비스에서 경험하지 않았지만 상존하거나 새로운 내·외부 다양한 보안 위협을 실시간, 즉각적인 탐지를 적용할 수 있다. AIF를 기반으로 미연에 사이버 위협, 침해 사고에 즉시 대응 가능한 예방적 체계를 구성할 수 있다.
넷스카우트의 Omnis Cyber Intelligence는 기업에 네트워크 전반의 손쉬운 보안 위협 관리와 동시에 운영하고 있는 서비스 안정성을 높이는 보안체계 구축을 도울 수 있다.
▲네트워크 트래픽을 수집·분석·탐지하는 MNX의 시스템[이미지=샌즈랩]
[통합보안 솔루션 집중분석-5]
네트워크 위협 탐지 및 대응 솔루션
샌즈랩, 네트워크 상의 모든 내용을 기록·추적·분석하는 NDR 솔루션! ┖MNX┖
인공지능(AI) 기술의 발전은 사이버보안 환경의 변화와 새로운 형태의 위협 또한 가져왔다. APT(Advanced Persistent Threat), 랜섬웨어 등의 위협들이 더욱 정교해지고 고도화되면서 단순히 사전에 정의된 패턴에 의해 탐지하는 솔루션만으로는 대응이 어려워지게 되었다.
과거에는 전통적인 방화벽, 침입 방지 시스템(IPS), 안티바이러스(Anti-Virus)와 같은 보안 솔루션이 대부분의 위협을 방어할 수 있었으나 현재의 네트워크 환경은 클라우드 컴퓨팅, 사물인터넷(IoT), 모바일 장치와 같이 다양한 기술로 확장되면서 공격대상 접점의 증가 및 공격자들의 내부 구간 정찰, 측면 이동 등의 위협 행위를 초래해 네트워크 내·외부에서 발생하는 다양한 형태의 위협에 능동적으로 대응하기 어렵다.
이렇게 눈으로 보이지 않는 네트워크 트래픽 상에서 발생하는 고도화된 사이버 위협들을 한 눈에 파악할 수 있는 가시성을 확보하고 네트워크 내부에서 발생하는 비정상적인 활동을 조기 탐지하고 이에 대응하는 기능을 제공하는 솔루션이 바로 NDR(Network Detection and Response) 솔루션이다.
샌즈랩의 MNX는 AI 기반의 인사이트 생성과 네트워크 포렌식 기능을 갖춘 차세대 NDR 솔루션이다. 네트워크 내에서 발생하는 이상징후나 행동을 탐지해 관리자에게 즉각 경고 알림을 보내주고 확인해야 할 정보를 인사이트 형태로 제공한다. 내부에서 어시스턴트 역할을 수행하는 자동화 체계로 관리자의 업무를 경감시키고 빠른 의사 결정을 도와 위협에 대한 신속한 대응이 가능하게 한다.
MNX는 네트워크 패킷을 실시간으로 고속 수집해 L7 레이어인 프로토콜과 애플리케이션 단위까지 식별해 네트워크 전반에 걸쳐 모든 트래픽을 추적·분석하고 모니터링할 수 있다. 또한 안티바이러스, AI를 활용한 심층 분석 기술을 통해 알려지지 않은 위협이나 제로데이(Zero-Day) 공격에 대한 강력한 탐지율로 네트워크 보안을 한층 더 강화할 수 있다.
Virus total 등의 다양한 인텔리전스와 연동해 파일에 대한 상세한 분석 정보를 제공하는 것도 MNX의 특징 중 하나다. 특히 샌즈랩의 인텔리전스 서비스인 CTX와 연동 시 연관된 공격 그룹, 캠페인 정보를 파악할 수 있어 구체적인 네트워크 보안체계를 수립할 수 있다.
또한 위협을 탐지·분석하는 것에 그치지 않고 모든 네트워크 패킷을 일정 기간 기록해 위협 시점을 역추적할 수 있는 포렌식 기능인 네트워크 블랙박스는 위협 발생 당시의 PCAP 파일을 제공해 침해사고 발생 후의 확산을 막고 피해를 최소화할 수 있다.
MNX의 도입은 내부 네트워크 환경과 AI로 고도화된 사이버 위협을 실시간으로 감지하고 효과적으로 대응할 수 있는 최적의 솔루션이자 필수적인 조건이다.
▲국내 최초 SIEM, SOAR, NDR 통합 XDR 솔루션[이미지=쿼리시스템즈]
[통합보안 솔루션 집중분석-6]
보안관제 자동화를 위한 XDR 솔루션
국내 최초 SIEM, SOAR, NDR 통합 XDR 솔루션-QTIE(큐티)
지금까지 보안관제 체계는 심층 보안, 다계층 보안을 목표로 다양한 보안 솔루션을 구축하고, 이기종 보안 솔루션 로그를 하나의 SIEM에 수집한 뒤 인적 관제를 통한 분석과 대응 업무를 하는 형태로 구현됐다. 하지만 최근 들어 과거 대비 더 다양한 보안 솔루션, 더 많은 보안 로그, 더 고도화되는 위협에 대응하기 위해 과거의 보안관제 문제점을 해결할 수 있는 차세대 보안관제 시스템을 검토하는 기관과 기업이 늘어나고 있다.
보안관제 자동화 및 탐지 대응 자동화 솔루션
차세대 보안관제 체계를 관통하는 키워드 중의 하나는 자동화다. 그리고 보안관제 자동화를 구현하기 위한 핵심 키워드 중의 하나는 바로 정확한 위협 탐지다. 그동안의 보안 솔루션들은 패턴, 평판, 샌드박스, 상관분석 등의 다양한 기술을 통해 얼마나 정밀하게 위협을 탐지할 수 있는지에 대한 개발에 집중했다. 하지만 보안관제 자동화를 위해서는 정밀한 분석은 필요조건 중의 하나가 되었고, 얼마나 정확하게 위협을 식별할 수 있는 지가 보안관제 자동화 구축을 위한 가장 중요한 요소가 됐다.
‘쉽고’ ‘편하고’ ‘빠르게’
QTIE(큐티)의 개발 모토 중의 하나는 ‘쉽고’ ‘편하고’ ‘빠르게’다. 누구나 쉽고 편하고 빠르게 검색하고 운영할 수 있는 검색 및 분석 엔진과 UI/UX를 제공하는 것이다. QTIE는 인 메모리 기반의 엔진과 인덱스 엔진을 활용해 초당 100억건 이상의 검색 속도를 지원하고, 필드 선택 방식의 검색과 구글 검색, 스플렁크 검색 스타일의 검색 문법과 통계 함수 지원을 통해 보다 빠르고 편하게 원하는 이벤트를 검색하고 분석할 수 있다.
정밀하고 정확하게
QTIE는 정밀한 분석과 가시성 확보를 위한 자체 NDR 솔루션인 QTIE Threat Detector와 SIEM, SOAR 기능을 하나의 플랫폼으로 통합·개발됐다. 또한 다중 상관분석과 연관분석 중심의 플레이북과 지도 및 비지도 기반 머신러닝 기능을 제공함으로써, Rule 기반 상관분석 정책에서 탐지하기 어려운 이상 징후 및 비정상 데이터를 탐지할 수 있다. 이와 함께 다양한 기업, 기관에서의 프로젝트를 통해 축적된 노하우를 제조사 권장 플레이북으로 무상 제공하고 있으며, 총 30만개 이상의 시그니처와 100만개 이상의 위협 정보, 700개 이상의 플레이북을 권장 정책으로 적용해 지속적으로 업데이트를 제공함으로써 보안관제 정책을 항상 최신화할 수 있다.
다수의 지능형 위협 탐지 자동차단 체계 구축 사례 보유’
차세대 XDR 솔루션 QTIE의 또 다른 강점은 위협을 오탐 없이 정확하게 식별하고 탐지할 수 있는 다수의 특허 기술과 정책 기반 위에서 기능이 구현되어 신뢰성이 높다는 것이다. 대량의 로그가 발생하는 금융·기업·공공 등 대형 사이트에 위협 식별 및 자동차단(대응) 체계를 구축·운영하고 있다는 점은 가장 큰 장점으로 꼽히고 있다. 또한 SIEM, SOAR, NDR의 모든 기능을 통합 제공함으로써, 개별 솔루션 관리 또는 개별 솔루션만을 운영하거나 연동할 때 발생하는 문제 없이 각각의 솔루션이 제공하는 장점을 극대화해 운영할 수 있는 솔루션이다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
